Générateur d'en-têtes CSP

Générez des en-têtes Content-Security-Policy avec un éditeur visuel. Choisissez les directives, utilisez les présets et copiez le résultat.

default-srcFallback for all resource types

script-srcJavaScript sources

style-srcCSS sources

img-srcImage sources

font-srcFont sources

connect-srcFetch, XHR, WebSocket

frame-srcIframe sources

object-srcPlugin sources (Flash, etc.)

media-srcAudio/video sources

form-actionForm submission targets

frame-ancestorsWho can embed this page

base-uriRestricts <base> tag URLs

Generated Policy

HTTP Header

Content-Security-Policy: default-src 'self'

HTML Meta Tag

<meta http-equiv="Content-Security-Policy" content="default-src 'self'">

Comment utiliser Générateur d'en-têtes CSP

1Commencez par un préset (strict, modéré ou permissif) ou construisez à partir de zéro.
2Configurez les directives individuelles comme script-src, style-src et img-src.
3Ajoutez des sources autorisées (self, domaines spécifiques, inline, eval) pour chaque directive.
4Prévisualisez la chaîne d'en-tête CSP générée.
5Copiez le résultat en tant qu'en-tête HTTP ou balise meta HTML.

ZenovayAnalytics

Analytics sans aucun bandeau cookies.

Suivi des visiteurs en temps réel
Vie privée d'abord, sans bandeau cookies
Installé en deux minutes

Découvrir Zenovay

Outils connexes

Générateur de Mot de Passe

Générez des mots de passe forts et aléatoires avec longueur, caractères et complexité personnalisables.

Vérificateur de Force de Mot de Passe

Vérifiez la force de votre mot de passe. Obtenez un temps de fissuration estimé et des suggestions d'amélioration.

Générateur HMAC

Générez des signatures HMAC en utilisant SHA-256, SHA-384 ou SHA-512 avec l'API Web Crypto.

Chiffrement/Déchiffrement AES

Chiffrez et déchiffrez du texte avec AES-GCM et la dérivation de clé PBKDF2. S'exécute entièrement dans votre navigateur.

Questions fréquemment posées

Qu'est-ce que Content-Security-Policy (CSP) ?▾

CSP est un en-tête HTTP qui contrôle quelles ressources un navigateur peut charger pour une page. Il aide à prévenir le cross-site scripting (XSS), le clickjacking et d'autres attaques par injection de code.

Que fait chaque directive ?▾

default-src est le repli pour tous les types de ressources. script-src contrôle JavaScript, style-src contrôle CSS, img-src contrôle les images, connect-src contrôle les requêtes fetch/XHR, font-src contrôle les polices, frame-src contrôle les iframes, et form-action contrôle les soumissions de formulaires.

Devrais-je utiliser une méta-balise CSP ou un en-tête HTTP ?▾

Un en-tête HTTP est préférable car il couvre tous les types de contenu. Une méta-balise fonctionne pour les politiques de base mais a des limitations : elle ne peut pas utiliser les directives frame-ancestors ou report-uri.

Quelles sont les valeurs CSP courantes ?▾

'self' autorise uniquement la même origine. 'none' bloque tout. 'unsafe-inline' autorise les scripts/styles inline (déconseillé). Les domaines spécifiques comme https://cdn.exemple.com mettent cette origine en liste blanche.

Ma configuration CSP est-elle traitée localement ?▾

Oui, l'en-tête CSP est entièrement construit dans votre navigateur. Aucune donnée de configuration n'est envoyée à un serveur.

Puis-je copier l'en-tête CSP généré ?▾

Oui. La chaîne d'en-tête générée peut être copiée en un clic pour être collée dans la configuration de votre serveur web, votre fichier .htaccess ou le middleware de votre application.

Comment tester ma politique CSP ?▾

Après avoir déployé l'en-tête CSP, ouvrez les outils de développement de votre navigateur et vérifiez la console pour les rapports de violation CSP. Vous pouvez également utiliser les directives report-uri ou report-to pour collecter les violations en production.